摘要

　　隨著(zhù)近幾年互聯(lián)網(wǎng)的飛速發(fā)展，電子商務(wù)、移動(dòng)支付、互聯(lián)網(wǎng)金融、網(wǎng)絡(luò )銀行、O2O平臺等已經(jīng)融入了每個(gè)人的生活，搜索引擎、多媒體網(wǎng)絡(luò )信息傳輸、社交網(wǎng)絡(luò )也早就與我們息息相關(guān)。人們逐漸習慣并且依賴(lài)于通過(guò)計算機從網(wǎng)絡(luò )獲取各種各樣的信息或者編輯信息在網(wǎng)絡(luò )上傳輸，互聯(lián)網(wǎng)的開(kāi)放性和匿名性使得網(wǎng)絡(luò )信息變得非常不安全，這使得網(wǎng)絡(luò )安全問(wèn)題不斷加劇。因此，網(wǎng)絡(luò )安全產(chǎn)品的研究有著(zhù)巨大的前景和意義。

　　本文主要設計了一種基于Linux系統、以FPGA為載體的“網(wǎng)絡(luò )數據加密卡”的實(shí)現方案。硬件主要基于FPGA的開(kāi)發(fā)環(huán)境以VHDL語(yǔ)言來(lái)實(shí)現，網(wǎng)卡芯片采用DM9000芯片。軟件驅動(dòng)部分是基于開(kāi)源Linux系統來(lái)實(shí)現。本設計主要實(shí)現的功能為數據在發(fā)送過(guò)程中可以通過(guò)本“網(wǎng)絡(luò )數據加密卡”自主選擇是否需要對數據進(jìn)行加密，然后通過(guò)互聯(lián)網(wǎng)進(jìn)行加密數據或者非加密數據的傳輸。在接收過(guò)程中可以對加密數據進(jìn)行解密。本設計在FPGA內部主要對祖沖之算法進(jìn)行了實(shí)現。該系統以硬件加密為基礎，實(shí)現了網(wǎng)絡(luò )數據的安全加密傳輸，保證了網(wǎng)絡(luò )數據傳輸的可靠性和安全性。

　　本論文對于硬件部分首先進(jìn)行整體的需求分析和硬件模塊化的總體框架進(jìn)行研究。闡述了基于PCI協(xié)議的PCI接口實(shí)現和PCI協(xié)議原理、DM9000網(wǎng)卡芯片的控制和工作過(guò)程。詳細介紹在FPGA內部與DM9000芯片連接的控制模塊和DM9000操作模塊的原理、序列加密祖沖之算法的原理和實(shí)現。

　　在軟件部分，主要研究了基于Linux系統的PCI接口網(wǎng)卡驅動(dòng)。其中闡述PCI接口網(wǎng)絡(luò )設備驅動(dòng)的整體框架和工作過(guò)程，并且詳細介紹其中數據的處理機制和網(wǎng)絡(luò )數據發(fā)送接收的工作原理。

　　本設計經(jīng)過(guò)在互聯(lián)網(wǎng)多臺計算機實(shí)驗驗證，安全可靠的實(shí)現了數據加密傳輸。

　　關(guān)鍵詞：Linux；祖沖之算法；FPGA；網(wǎng)絡(luò )數據加密卡

Abstract

　　In recent years, with the rapid development of the Internet, e-commerce, mobile payments, Internet banking, online banking, O2O platform has been integrated into the lives of each of us. Search engines, multimedia information transmission network, social networking is closely related with us early. People become accustomed and depend on the computer to obtain a variety of information or edit information to transmit through the network. The Internet's openness and anonymity makes the information from the network become very insecurity, which makes the growing problem of network security. Therefore, network security products have tremendous potential and significance of the research.

　　This paper is designed based on a Linux system, based on FPGA's "network data encryption card" scheme. Hardware based on FPGA in VHDL language development environment to achieve the NIC chip DM9000. Software driver is implemented based on the open source Linux system. The design main achieve the function is that in the process of data transmission it can select if the data should be encrypted through "network data encryption card ", and then transmit plaintext or ciphertext through the Internet. The receiving process can decrypt the ciphertext. The ZUC algorithm is achieved in FPGA card. The system based on encryption of hardware, and achieve safe transmission through network to ensure the reliability of data transmission and network security.

　　The first part of this paper study the overall hardware requirements analysis and modular hardware framework. It describes the PCI interface based on PCI protocols implementation and principle of PCI protocols and operation of the DM9000 chip. It introduces principle of DM9000 operation control module within the FPGA chip, the connection method of DM9000 card, ZUC sequence encryption algorithm.

　　The part of software mainly research Linux system driver that based on PCI interface card. Framework of network device driver based on PCI interface and work process is explained. It detailedly introduce processing mechanisms of data and principle of transmission and reception in network.

　　The design has been verified and experimented through more than one computer on the Internet, which achieves a secure and reliable transmission of ciphertext.

　　Keywords: Linux; ZUC algorithms; FPGA; Network data encryption card

　　現如今互聯(lián)網(wǎng)已經(jīng)成為我們生活中不可缺少的元素，它給我們的生活和工作帶來(lái)了多方面的便利。然而，近年來(lái)私人信息泄露、個(gè)人隱私被曝光、銀行存款不翼而飛、國家機密被竊取等互聯(lián)網(wǎng)安全問(wèn)題不斷凸顯出來(lái)，這主要是網(wǎng)絡(luò )信息在互聯(lián)網(wǎng)的傳輸過(guò)程中被第三方非法竊取和修改所導致的互聯(lián)網(wǎng)信息安全問(wèn)題。

　　所以將網(wǎng)絡(luò )數據進(jìn)行加密后傳輸顯得尤為重要，這樣即使被截獲，截獲的也是密文，有效的保證了信息在網(wǎng)絡(luò )中安全。近年來(lái)，基于密碼學(xué)的網(wǎng)絡(luò )加密手段引起了人們的廣泛關(guān)注并對此進(jìn)行研究，其中包括硬件加密和軟件加密，硬件加密以其加解密速度快和可靠性強有著(zhù)絕對優(yōu)勢。硬件加密的優(yōu)點(diǎn)是加解密速度快，使用方法簡(jiǎn)單，安全性高，算法容易進(jìn)行更新升級替換，僅需要購買(mǎi)專(zhuān)用的加密卡安裝在計算機的卡槽內。軟件加密的優(yōu)點(diǎn)是成本低，不需要硬件上的改變就能實(shí)現數據的加密，安全性較差，消耗了大量系統資源，很容易破解[1]。基于以上分析硬件加密有著(zhù)重要意義，也是本設計硬件網(wǎng)絡(luò )數據加密卡的最終目的。現在我們國內大多數的特殊機構為了內部信息安全性，常采用內部局域網(wǎng)與外網(wǎng)隔離的手段，在局域網(wǎng)的內部，可以相互之間進(jìn)行正常的通信，整個(gè)局域網(wǎng)與互聯(lián)網(wǎng)是相互隔離。防止和互聯(lián)網(wǎng)連接導致網(wǎng)絡(luò )攻擊，導致信息泄露的后果。

　　這給工作帶來(lái)了非常大的局限性，因此如今開(kāi)發(fā)一種可以在計算機和互聯(lián)網(wǎng)之間實(shí)現網(wǎng)絡(luò )數據既可以正常傳輸，又可以實(shí)現數據加密的網(wǎng)絡(luò )安全設備顯得極其的重要。從算法的角度出發(fā)，基于國家安全的重要性，我國如今大力提倡并且要求信息加密技術(shù)應用國內自主研發(fā)的加密算法。這樣更能有效的提升加密信息技術(shù)的保密性和安全性。因此本設計采用中國自主研發(fā)的祖沖之算法進(jìn)行實(shí)現，并且分析其性能。從硬件加密的研究方向出發(fā)，滿(mǎn)足如今的網(wǎng)絡(luò )安全的需求，設計出一款可以加密傳輸網(wǎng)絡(luò )數據的網(wǎng)絡(luò )數據加密卡是本設計的目的。對于個(gè)人信息安全、互聯(lián)網(wǎng)安全、企業(yè)和國家安全都有著(zhù)其重要的意義。

　　目前防止網(wǎng)絡(luò )信息泄露最主要的方法就是將我們要傳輸的數據先進(jìn)行加密然后再傳輸，這樣做有效的防止了明文信息被直接竊取的安全隱患。針對這種方案人們主要研究的方向集中在加密算法和傳輸手段上。加密的算法主要有公鑰算法和私鑰算法，私鑰算法的加密和解密兩端的密鑰是一致的，私鑰算法又分為序列加密和分組加密兩種，序列加密難點(diǎn)在于用什么樣的方法來(lái)產(chǎn)生隨機序列，幾十年來(lái)，人們已經(jīng)研究并且提出了大量的序列密碼，其中最為典型并且被人們深入和廣泛研究的有RC4、A5等。1987年，創(chuàng )造RSA算法的三人中的Ronald Rivest創(chuàng )造了密鑰長(cháng)度可變和極高非線(xiàn)性的RC4算法，RC4的加密速度大約是分組算法DES的十倍[2]。在1994年RC4被公布在網(wǎng)上，這個(gè)起初原本為商業(yè)機密而生的算法被廣泛的研究并測試出有一定的缺陷性。A5算法最初是在1989年由法國人研發(fā)用于GSM領(lǐng)域。此算法基于LFSR，A5算法一共有A5/1、A5/2、A5/3三個(gè)版本，其中A5/1是安全性最好的，相對而言A5/2的保密性和安全性都很低[3]，A5/3為分組密碼。隨著(zhù)國家安全問(wèn)題的升級，我國自主加密算法的研究工作也有著(zhù)飛速進(jìn)展，128-EIA3和128-EEA3就是我國自主研發(fā)的基于ZUC(祖沖之算法)的序列加密算法，ZUC通過(guò)了3GPP的評定，并且最終被認定為L(cháng)TE的國際標準[4]。ZUC也是我國第一個(gè)通過(guò)國際標準認定的算法[5][6]。

　　國內外現在對于應用在網(wǎng)絡(luò )數據傳輸方面的硬件加密卡，大多采用的有三種方案，第一種是應用專(zhuān)有芯片集成算法的單獨對數據加密的加密卡，例如凌科芯安公司的LKT4208。第二種是采用DSP和FPGA結合的方案，DSP用作數據處理調度，FPGA用做算法的實(shí)現[7]。第三種方案就是單獨通過(guò)在硬件加密卡上做網(wǎng)絡(luò )接口，然后將加密處理完的數據通過(guò)網(wǎng)口進(jìn)行發(fā)送處理。例如北京曙光天演有限公司研發(fā)的帶有網(wǎng)口的硬件加密卡。這其中第一種方案對于算法的更換靈活性很差，不便于產(chǎn)品的更新?lián)Q代，第二種方案從成本和集成的角度也也不利于產(chǎn)品的推廣，而第三種方案雖然滿(mǎn)足集成度高和算法便于更新的優(yōu)勢，但是數據在大的互聯(lián)網(wǎng)傳輸還需要進(jìn)一步的探索和研究。本設計是在第三種設計方案基礎之上進(jìn)行的設計。為了達到降低成本和用戶(hù)需求的目的，基于原有硬件加密卡的硬件基礎之上對其進(jìn)行進(jìn)一步的開(kāi)發(fā)和設計。

　　本文主要是對基于Linux系統和FPGA平臺的網(wǎng)絡(luò )數據加密卡的軟件驅動(dòng)和硬件的研究。軟件方面主要是在Linux系統下的網(wǎng)絡(luò )數據加密卡的驅動(dòng)研究，首先介紹32位PCI局部總線(xiàn)協(xié)議和數據的傳輸機制[8]，其次介紹PCI驅動(dòng)架構和實(shí)現過(guò)程[9]，接著(zhù)介紹基于PCI接口的網(wǎng)絡(luò )設備驅動(dòng)注冊流程和網(wǎng)絡(luò )數據包的發(fā)送接收過(guò)程，闡述在PCI框架中實(shí)現網(wǎng)絡(luò )設備驅動(dòng)注冊的實(shí)現過(guò)程。在PCI總線(xiàn)的驅動(dòng)中同時(shí)注冊了字符設備，對網(wǎng)絡(luò )設備和字符設備數據訪(fǎng)問(wèn)的互斥機制處理會(huì )作細致的研究。硬件方面主要分為三個(gè)部分：第一部分PCI接口的IP核的實(shí)現；第二部分為DM9000網(wǎng)卡芯片的控制和操作；第三部分為加密模塊的實(shí)現和分析。第一部分介紹PCI相關(guān)資源的配置與實(shí)現，其次介紹PCI協(xié)議的IP核的接口的意義和作用[10]。

　　最后介紹IP核的應用。第二部分主要介紹DM9000芯片的基本信息和操作過(guò)程，接下來(lái)介紹DM9000的控制模塊的實(shí)現功能和原理。第三部分主要介紹祖沖之算法。此外，對于FPGA的應用和程序開(kāi)發(fā)流程部分，主要會(huì )介紹FPGA中各部分模塊通過(guò)Modelsim和QuartusII的開(kāi)發(fā)和仿真過(guò)程，從單個(gè)模塊的仿真到整個(gè)系統的仿真，對數據和信號的波形圖會(huì )做詳細的分析和對比。最后仿真測試達到產(chǎn)品需求之后，會(huì )進(jìn)一步介紹Linux平臺互聯(lián)網(wǎng)通信的數據測試過(guò)程，給出測試結果并加以分析。

　　Linux系統開(kāi)發(fā)網(wǎng)絡(luò )加密卡設計：

配置空間BAR0寄存器進(jìn)行配置寫(xiě)操作時(shí)序仿真圖

配置空間BAR0寄存器進(jìn)行配置讀操作時(shí)序仿真圖

配置空間ID寄存器進(jìn)行配置寫(xiě)操作時(shí)序仿真圖

對IO空間測試寄存器進(jìn)行讀寫(xiě)仿真圖

網(wǎng)卡芯片的讀操作仿真圖

網(wǎng)卡芯片進(jìn)行寫(xiě)操作仿真圖

目 錄

　　中文摘要
　　Abstract
　　第 1 章 緒論1
　　　　1.1 課題研究背景與目的意義
　　　　1.2 國內外同類(lèi)課題研究現狀及發(fā)展趨勢
　　　　1.3 本文主要研究?jì)热?br /> 　　　　1.4 本文的結構安排
　　第 2 章 網(wǎng)絡(luò )數據加密卡的理論基礎概述5
　　　　2.1 網(wǎng)卡加密系統的整體框架
　　　　2.2 Linux 網(wǎng)絡(luò )協(xié)議
　　　　　　2.2.1 網(wǎng)絡(luò )接口部分
　　　　　　2.2.2 網(wǎng)絡(luò )接口核心部分
　　　　　　2.2.3 網(wǎng)絡(luò )協(xié)議族部分
　　　　　　2.2.4 網(wǎng)絡(luò )接口 socket 層
　　　　2.3 Linux 設備驅動(dòng)概述
　　　　　　2.3.1 Linux 設備驅動(dòng)分類(lèi)
　　　　　　2.3.2 Linux 網(wǎng)絡(luò )設備重要數據結構
　　　　2.4 PCI 局部總線(xiàn)接口協(xié)議
　　　　　　2.4.1 PCI 局部總線(xiàn)接口優(yōu)點(diǎn)
　　　　　　2.4.2 PCI 總線(xiàn)信號分類(lèi)
　　　　　　2.4.3 PCI 總線(xiàn)地址空間分配和映射
　　　　　　2.4.4 PCI 總線(xiàn)命令
　　　　　　2.4.5 PCI 總線(xiàn)操作時(shí)序
　　　　　　　　2.4.5.1 PCI 總線(xiàn)基本讀操作時(shí)序
　　　　　　　　2.4.5.2 PCI 總線(xiàn)基本寫(xiě)操作時(shí)序
　　　　2.5 祖沖之算法
　　　　　　2.5.1 線(xiàn)性反饋移位寄存器 LFSR
　　　　　　2.5.2 比特重組 BR
　　　　　　2.5.3 非線(xiàn)性函數 F
　　　　2.6 本章小結
　　第 3 章 網(wǎng)絡(luò )加密卡硬件研究與實(shí)現27
　　　　3.1 網(wǎng)絡(luò )數據加密卡總體設計
　　　　3.2 供電電路設計和芯片選型
　　　　　　3.2.1 供電電路設計
　　　　　　3.2.2 芯片選型
　　　　3.3 編譯和仿真平臺
　　　　　　3.3.1 QuartusII 編程平臺
　　　　　　3.3.2 Modelsim 仿真平臺
　　　　3.4 PCI 接口 IP 軟核設計與實(shí)現
　　　　　　3.4.1 PCI 接口 IP 核的功能模塊劃分
　　　　　　3.4.2 PCI 接口 IP 核的信號實(shí)現
　　　　　　3.4.3 PCI 接口 IP 核各模塊功能設計與實(shí)現
　　　　　　3.4.4 PCI 接口 IP 核各模塊功能設計與實(shí)現
　　　　3.5 命令解碼控制模塊設計與實(shí)現
　　　　　　3.5.1 功能劃分
　　　　　　3.5.2 信號實(shí)現
　　　　　　3.5.3 DM9000 控制功能實(shí)現
　　　　　　3.5.4 加/解密控制功能實(shí)現
　　　　3.6 加解密算法模塊設計與實(shí)現
　　　　　　3.6.1 加/解密算法模塊信號和結構設計
　　　　　　3.6.2 加/解密模塊仿真驗證
　　　　3.7 本章小結
　　第 4 章 網(wǎng)絡(luò )加密卡的驅動(dòng)設計61
　　　　4.1 網(wǎng)絡(luò )加密卡驅動(dòng)總體設計
　　　　4.2 驅動(dòng)調試方法
　　　　4.3 PCI 驅動(dòng)架構實(shí)現
　　　　　　4.3.1 核心結構體
　　　　　　4.3.2 PCI 架構驅動(dòng)實(shí)現過(guò)程
　　　　4.4 網(wǎng)絡(luò )設備功能實(shí)現
　　　　　　4.4.1 網(wǎng)絡(luò )設備初始化
　　　　　　4.4.2 網(wǎng)絡(luò )設備打開(kāi)中斷和初始化函數實(shí)現
　　　　　　4.4.3 網(wǎng)絡(luò )數據發(fā)送與接收
　　　　　　4.4.4 連接狀態(tài)監測
　　　　4.5 字符設備功能實(shí)現
　　　　　　4.5.1 字符設備注冊
　　　　　　4.5.2 字符設備操作函數
　　　　4.6 本章小結
　　第 5 章 系統綜合測試77
　　　　5.1 系統綜合測試步驟
　　　　5.2 綜合加解密功能測試
　　　　5.3 系統網(wǎng)絡(luò )傳輸功能測試
　　　　5.4 系統綜合測試
　　　　5.5 本章小節
　　結 論
　　參考文獻
　　致 謝
　　攻讀學(xué)位期間科研成果

（如您需要查看本篇畢業(yè)設計全文，請您聯(lián)系客服索取）